Como o Amazon Managed Grafana usa subsídios em AWS KMS Etapa 1: criar uma chave gerenciada pelo cliente Etapa 2: Especificar uma chave gerenciada pelo cliente para o Amazon Managed Grafana Monitorando suas chaves de criptografia para Amazon Managed Grafana Saiba mais

Criptografia inativa

Por padrão, o Amazon Managed Grafana fornece automaticamente a criptografia em repouso e faz isso usando chaves de criptografia AWS próprias.

AWS chaves próprias — O Amazon Managed Grafana usa essas chaves para criptografar automaticamente os dados do seu espaço de trabalho. Você não pode visualizar, gerenciar ou usar chaves AWS próprias nem auditar seu uso. No entanto, não é necessário realizar nenhuma ação nem alterar qualquer programa para proteger as chaves que criptografam seus dados. Para obter mais informações, consulte AWS-owned keys no Guia do AWS KMS desenvolvedor.

A criptografia de dados em repouso ajuda a reduzir a sobrecarga operacional e a complexidade da proteção de dados confidenciais do cliente, como informações de identificação pessoal. Isso permite que você crie aplicações seguras que atendam aos rigorosos requisitos regulatórios e de conformidade de criptografia.

Como alternativa, é possível usar uma chave gerenciada pelo cliente ao criar o espaço de trabalho:

Chaves gerenciadas pelo cliente — O Amazon Managed Grafana oferece suporte ao uso de uma chave simétrica gerenciada pelo cliente que você cria, possui e gerencia para criptografar os dados em seu espaço de trabalho. Como você tem controle total dessa criptografia, é possível realizar tarefas como:
- Estabelecer e manter as políticas de chave
- Estabelecer e manter subsídios e IAM policies
- Habilitar e desabilitar políticas de chaves
- Alternar os materiais de criptografia de chave
- Adicionar etiquetas
- Criar réplicas de chaves
- Chaves de agendamento para exclusão

Para obter mais informações, consulte chaves gerenciadas pelo cliente no Guia do AWS KMS desenvolvedor e O que é AWS KMS?

Escolha se deseja usar as chaves gerenciadas pelo cliente ou as chaves AWS próprias com cuidado. Os espaços de trabalho criados com chaves gerenciadas pelo cliente não podem ser convertidos para usar chaves AWS próprias posteriormente (e vice-versa).

nota

O Amazon Managed Grafana habilita automaticamente a criptografia em repouso usando chaves AWS próprias para proteger seus dados sem nenhum custo.
No entanto, AWS KMS cobranças são cobradas pelo uso de uma chave gerenciada pelo cliente. Para saber mais sobre preços, consulte Preços do AWS KMS.

Importante

Se você desativar a chave gerenciada pelo cliente ou remover o acesso ao Amazon Managed Grafana na política de chaves, seu espaço de trabalho ficará inacessível. O espaço de trabalho permanecerá em um ACTIVE estado, mas estará funcionalmente indisponível. Você tem 7 dias para restaurar o acesso reativando a chave ou restaurando a política de chaves. Após 7 dias, o espaço de trabalho passará para um FAILED estado e só poderá ser excluído.
O agendamento de uma chave para exclusão AWS KMS tem um período mínimo de espera de 7 dias antes que a chave seja excluída. Depois que uma chave é excluída, ela não pode ser restaurada e qualquer espaço de trabalho criptografado com essa chave perderá permanentemente o acesso aos seus dados.
A criptografia de chave gerenciada pelo cliente só está disponível ao criar novos espaços de trabalho. Os espaços de trabalho existentes não podem ser convertidos para usar chaves gerenciadas pelo cliente.
Você não pode modificar a chave gerenciada pelo cliente de um espaço de trabalho após a criação.

Como o Amazon Managed Grafana usa subsídios em AWS KMS

O Amazon Managed Grafana exige doações para usar sua chave gerenciada pelo cliente.

Quando você cria um espaço de trabalho do Amazon Managed Grafana criptografado com uma chave gerenciada pelo cliente, o Amazon Managed Grafana cria doações em seu nome enviando solicitações para. CreateGrant AWS KMS As concessões AWS KMS são usadas para dar à Amazon Managed Grafana acesso à chave KMS em sua conta, mesmo quando não é chamada diretamente em seu nome (por exemplo, ao armazenar dados do painel ou configurações do usuário).

O Amazon Managed Grafana exige que os subsídios usem sua chave gerenciada pelo cliente para as seguintes operações internas:

Envie CreateGrantsolicitações para AWS KMS criar subsídios adicionais conforme necessário.
Envie DescribeKeysolicitações AWS KMS para verificar se a chave KMS simétrica gerenciada pelo cliente fornecida ao criar um espaço de trabalho é válida.
Envie ReEncryptTo e ReEncryptFrom solicite que os dados AWS KMS sejam recriptografados ao alternar entre diferentes contextos de criptografia.
Envie solicitações do Encrypt AWS KMS para criptografar dados diretamente com sua chave gerenciada pelo cliente.
Envie solicitações de descriptografia para AWS KMS descriptografar as chaves de dados criptografadas para que elas possam ser usadas para criptografar seus dados.
Envie GenerateDataKeysolicitações AWS KMS para gerar chaves de dados criptografadas pela chave gerenciada pelo cliente.
Envie GenerateDataKeyWithoutPlaintextsolicitações AWS KMS para gerar chaves de dados criptografadas sem retornar a versão em texto simples.
Envie RetireGrantsolicitações AWS KMS para bolsas de aposentadoria que não sejam mais necessárias.

O Amazon Managed Grafana cria concessões para a AWS KMS chave que permitem que o Amazon Managed Grafana use a chave em seu nome. É possível remover o acesso à chave alterando a política de chaves, desabilitando a chave ou revogando a concessão. É necessário entender as consequências dessas ações antes de executá-las. Isso pode causar perda de dados no espaço de trabalho.

Se você remover o acesso a qualquer uma das concessões de alguma forma, o Amazon Managed Grafana não poderá acessar nenhum dado criptografado pela chave gerenciada pelo cliente, nem armazenar novos dados enviados para o espaço de trabalho, o que afeta as operações que dependem desses dados. Novas atualizações no espaço de trabalho não estarão acessíveis e poderão ser perdidas permanentemente.

Atenção

Se você desativar a chave ou remover o acesso ao Amazon Managed Grafana na política de chaves, os dados do espaço de trabalho não estarão mais acessíveis. O espaço de trabalho permanecerá em um ACTIVE estado, mas estará funcionalmente indisponível. As novas atualizações enviadas para o espaço de trabalho não estarão acessíveis e poderão ser perdidas permanentemente. Você pode restaurar o acesso aos dados do espaço de trabalho e continuar recebendo novos dados reativando a chave ou restaurando o acesso do Amazon Managed Grafana à chave em 7 dias. Após 7 dias sem acesso, o espaço de trabalho passará para um FAILED estado.
Se você programar a chave para exclusão em AWS KMS, a chave será excluída após o período de espera obrigatório de 7 dias. Depois de excluída, a chave não pode ser restaurada e os dados do espaço de trabalho ficarão permanentemente inacessíveis.
Se você revogar uma concessão, ela não poderá ser recriada e os dados no espaço de trabalho serão perdidos permanentemente.
O Amazon Managed Grafana cria bolsas adicionais para crianças por meio do Amazon RDS devido à sua dependência do RDS para armazenamento de dados. A revogação dessas concessões relacionadas ao RDS terá o mesmo efeito permanente de perda de dados que a revogação das concessões primárias da Grafana.

Etapa 1: criar uma chave gerenciada pelo cliente

Você pode criar uma chave simétrica gerenciada pelo cliente usando o AWS Management Console ou o. AWS KMS APIs A chave deve estar na mesma região do espaço de trabalho Amazon Managed Grafana e deve ser uma chave simétrica com o uso da chave. ENCRYPT_DECRYPT

Para criar uma chave simétrica gerenciada pelo cliente

Siga as etapas de Criar uma chave simétrica gerenciada pelo cliente no Guia do desenvolvedor do AWS KMS .

Política de chave

As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, você pode especificar uma política de chaves. Para obter mais informações, consulte Gerenciamento do acesso às chaves gerenciadas pelo cliente no Guia do desenvolvedor do AWS KMS .

Para usar sua chave gerenciada pelo cliente com seus espaços de trabalho Amazon Managed Grafana, as seguintes operações de API devem ser permitidas na política de chaves:

kms: CreateGrant — Adiciona uma concessão a uma chave gerenciada pelo cliente. Concede acesso de controle a uma chave KMS especificada, que permite o acesso às operações de concessão exigidas pelo Amazon Managed Grafana. Para obter mais informações, consulte Uso de concessões no Guia do desenvolvedor do AWS KMS . Isso permite que o Amazon Managed Grafana faça o seguinte:
- Ligue GenerateDataKey para gerar uma chave de dados criptografada e armazená-la.
- Ligar para Decrypt para usar a chave de dados criptografada armazenada para acessar os dados criptografados.
kms: DescribeKey — Fornece os detalhes da chave gerenciada pelo cliente para permitir que o Amazon Managed Grafana valide a chave.

A seguir estão exemplos de declarações de política que você pode adicionar ao Amazon Managed Grafana:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow IAM Users and Roles to validate KMS key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/root"
      },
      "Action": [
        "kms:DescribeKey",
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": [
            "grafana.<region>.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "Allow IAM Users and Roles to create grant on KMS key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/root"
      },
      "Action": "kms:CreateGrant",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": [
            "grafana.<region>.amazonaws.com"
          ],
          "kms:GrantConstraintType": "EncryptionContextSubset"
        },
        "ForAllValues:StringEquals": {
          "kms:GrantOperations": [
            "CreateGrant",
            "RetireGrant",
            "Decrypt",
            "Encrypt",
            "GenerateDataKey",
            "GenerateDataKeyWithoutPlaintext",
            "ReEncryptFrom",
            "ReEncryptTo"
          ]
        }
      }
    }
  ]
}

Para obter mais informações sobre a especificação de permissões em uma política, consulte o Guia do desenvolvedor do AWS Key Management Service.
Para obter mais informações sobre como solucionar problemas de acesso à chave, consulte o Guia do desenvolvedor do AWS Key Management Service.

Etapa 2: Especificar uma chave gerenciada pelo cliente para o Amazon Managed Grafana

Ao criar um espaço de trabalho, você pode especificar a chave gerenciada pelo cliente inserindo um ARN da chave KMS, que o Amazon Managed Grafana usa para criptografar os dados armazenados pelo espaço de trabalho.

Usando o console AWS de gerenciamento

Abra o console do Amazon Managed Grafana em https://console.aws.amazon.com/grafana/.
Selecione Criar espaço de trabalho.
Na seção Criptografia, selecione Chave gerenciada pelo cliente.
Insira o ARN da sua chave gerenciada pelo cliente no campo ARN da chave KMS.
Conclua a configuração restante do espaço de trabalho e escolha Criar espaço de trabalho.

Usando o AWS CLI

Você pode especificar uma chave gerenciada pelo cliente ao criar um espaço de trabalho usando o --kms-key-id parâmetro:


aws grafana create-workspace \
    --workspace-name "my-encrypted-workspace" \
    --workspace-description "Workspace with customer managed encryption" \
    --account-access-type "CURRENT_ACCOUNT" \
    --authentication-providers "AWS_SSO" \
    --permission-type "SERVICE_MANAGED" \
    --kms-key-id "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"

Monitorando suas chaves de criptografia para Amazon Managed Grafana

Ao usar uma chave gerenciada pelo AWS KMS cliente com seus espaços de trabalho do Amazon Managed Grafana, você pode usar o AWS CloudTrail Amazon CloudWatch Logs para rastrear solicitações enviadas para o Amazon Managed Grafana. AWS KMS

Os exemplos a seguir são AWS CloudTrail eventos paraCreateGrant, DescribeKeyGenerateDataKey, e Decrypt para monitorar operações KMS chamadas pelo Amazon Managed Grafana para acessar dados criptografados pela chave gerenciada pelo cliente:

CreateGrant

Quando você usa uma chave gerenciada pelo AWS KMS cliente para criptografar seu espaço de trabalho, o Amazon Managed Grafana envia CreateGrant solicitações em seu nome para acessar a chave KMS que você especificou. As concessões que o Amazon Managed Grafana cria são específicas para o recurso associado à chave gerenciada pelo AWS KMS cliente.

O evento de exemplo a seguir registra uma operação CreateGrant:


{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "grafana.amazonaws.com",
"operations": [
"CreateGrant",
"DescribeKey",
"ReEncryptTo",
"ReEncryptFrom",
"Encrypt",
"Decrypt",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"RetireGrant"
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"granteePrincipal": "grafana.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}

DescribeKey

O Amazon Managed Grafana usa a DescribeKey operação para verificar se a chave gerenciada pelo AWS KMS cliente associada ao seu espaço de trabalho existe na conta e na região.

O evento de exemplo a seguir registra a operação DescribeKey:


{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}

GenerateDataKey

O Amazon Managed Grafana usa a GenerateDataKey operação para gerar chaves de dados que são usadas para criptografar dados do espaço de trabalho.

O evento de exemplo a seguir registra a operação GenerateDataKey:


{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}

Decrypt

O Amazon Managed Grafana usa a Decrypt operação para descriptografar chaves de dados criptografadas para que elas possam ser usadas para descriptografar dados do espaço de trabalho.

O evento de exemplo a seguir registra a operação Decrypt:


{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:grafana:workspace-id": "g-1234567890abcdef0"
}
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}

Saiba mais

Os recursos a seguir fornecem mais informações sobre a criptografia de dados em repouso.

Para obter mais informações sobre conceitos AWS KMS básicos, consulte o Guia do AWS KMS desenvolvedor.
Para obter mais informações sobre as melhores práticas de segurança para AWS KMS, consulte o Guia do AWS KMS desenvolvedor.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Controle do acesso da rede

Conectar-se aos dados na Amazon VPC